隨著企業(yè)互聯(lián)網(wǎng)化進(jìn)程的不斷深入，越來越多的業(yè)務(wù)被遷移到互聯(lián)網(wǎng)上，大量的業(yè)務(wù)交互和對(duì)外服務(wù)，導(dǎo)致企業(yè)大量使用API。因此，API已經(jīng)成為業(yè)務(wù)的一個(gè)關(guān)鍵組件，企業(yè)必須優(yōu)化和加速API，以提高App應(yīng)用的性能、可靠性和用戶體驗(yàn)。

　　大多數(shù)企業(yè)認(rèn)為API安全是他們希望解決的首要問題。面對(duì)互聯(lián)網(wǎng)上飛速變革的業(yè)務(wù)形態(tài)，企業(yè)正在創(chuàng)建開放式API以滿足不斷變化的需求。然而，開放式API的安全負(fù)擔(dān)更大，因?yàn)槔米詣?dòng)化工具通過合法帳戶進(jìn)行API濫用已成為開放式API攻擊的主流。注入攻擊、DDOS攻擊、身份賬號(hào)安全、敏感數(shù)據(jù)泄漏、參數(shù)篡改等API資產(chǎn)使用運(yùn)維過程中引入的新風(fēng)險(xiǎn)給安全運(yùn)維帶來了極大挑戰(zhàn)。

　　然而傳統(tǒng)API網(wǎng)關(guān)只能為客戶提供身份認(rèn)證、權(quán)限管控及內(nèi)容校驗(yàn)等安全功能，這些功能的使用需要具備大量的應(yīng)用開發(fā)工作，同時(shí)由于來自自動(dòng)化工具的請(qǐng)求內(nèi)容和正常請(qǐng)求并沒有差別，這些安全機(jī)制幾乎無用武之地?；谝陨戏雷o(hù)需求，本期發(fā)布牛品推薦第十七期——瑞數(shù)信息：API安全管控平臺(tái)。

　　#牛品推薦第十七期 #

　　01 標(biāo)簽

　　API安全，自動(dòng)化攻擊防護(hù)，動(dòng)態(tài)安全資產(chǎn)管理

　　02 用戶痛點(diǎn)

　　API面臨的安全威脅

　　為了方便與其他企業(yè)快速對(duì)接，大量的企業(yè)使用Http/RESTful API，這也使得API的安全問題更為嚴(yán)峻，API面臨的主要安全威脅如下：

　　API資產(chǎn)管理

　　· API接口無法掃描和探測(cè)，大量的API資產(chǎn)如何收集？

　　· API資產(chǎn)如何實(shí)現(xiàn)全生命周期管理？

　　API安全攻擊風(fēng)險(xiǎn)

　　· API面臨各種安全攻擊（業(yè)務(wù)邏輯層面的安全攻擊和WEB應(yīng)用技術(shù)層面的安全攻擊），如何有效識(shí)別和防護(hù)？

　　· 如何進(jìn)行API請(qǐng)求參數(shù)的合規(guī)性檢驗(yàn)？

　　敏感數(shù)據(jù)管控

　　· 如何識(shí)別API訪問中的敏感數(shù)據(jù)并進(jìn)行過濾和攔截？

　　· 如何對(duì)API接口傳輸中的敏感數(shù)據(jù)實(shí)現(xiàn)控制，如脫敏？

　　訪問行為管控

　　· 如何有效管理API的訪問行為，識(shí)別異常的訪問行為？

　　· 從API訪問中如何甄別出真正的業(yè)務(wù)安全風(fēng)險(xiǎn)？

　　傳統(tǒng)API解決方案問題凸顯

　　傳統(tǒng)API安全網(wǎng)關(guān)更多是在API請(qǐng)求的身份認(rèn)證、權(quán)限管控、請(qǐng)求內(nèi)容校驗(yàn)與過濾以及API流量限速等方面進(jìn)行防護(hù)，但是這些防護(hù)功能都與應(yīng)用開發(fā)高度相關(guān)，應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置，造成的部署與維護(hù)成本都極為高昂；尤其是企業(yè)近年來在業(yè)務(wù)上對(duì)API的依賴不斷增長，API功能也在不斷擴(kuò)充與加強(qiáng)，傳統(tǒng)API安全網(wǎng)關(guān)的維護(hù)工作量問題愈加凸顯，因此，許多企業(yè)開始棄用傳統(tǒng)API安全網(wǎng)關(guān)。

　　鑒于傳統(tǒng)API安全網(wǎng)關(guān)部署與維護(hù)成本過高，而且無法有效防護(hù)新興的自動(dòng)化工具威脅的弊端，瑞數(shù)信息創(chuàng)新地推出了API安全管控平臺(tái)，從而解決API面臨的各種安全風(fēng)險(xiǎn)與挑戰(zhàn)，實(shí)現(xiàn)API的資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控。

　　03 解決方案

　　瑞數(shù)API安全管控平臺(tái)（API BotDefender）

　　瑞數(shù)API安全管控平臺(tái)（API BotDefender）包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

　　資產(chǎn)管理模塊：實(shí)現(xiàn)對(duì)API資產(chǎn)的統(tǒng)一管理。API資產(chǎn)管理基于數(shù)據(jù)建模自動(dòng)發(fā)現(xiàn)被保護(hù)站點(diǎn)的API資產(chǎn)，對(duì)API資產(chǎn)進(jìn)行梳理、分析和上下線，幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理。

　　攻擊防護(hù)模塊：綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測(cè)引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測(cè)威脅攻擊。智能威脅檢測(cè)引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù)，并利用統(tǒng)計(jì)模型來確定HTTP請(qǐng)求的異常。一旦確定異常情況，智能引擎就會(huì)使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊。

　　敏感數(shù)據(jù)管控模塊：對(duì)API傳輸中的敏感數(shù)據(jù)進(jìn)行識(shí)別，針對(duì)敏感數(shù)據(jù)可以進(jìn)行脫敏處理或者實(shí)時(shí)攔截，防止敏感數(shù)據(jù)泄露。

　　訪問行為管控模塊：對(duì)API接口的訪問行為進(jìn)行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現(xiàn)異常訪問行為，避免惡意訪問和接口濫用造成的業(yè)務(wù)損失。

　　應(yīng)用場(chǎng)景：

　　API資產(chǎn)自動(dòng)發(fā)現(xiàn)

　　API安全管控平臺(tái)通過對(duì)訪問流量進(jìn)行分析，自動(dòng)發(fā)現(xiàn)流量中的API接口，實(shí)現(xiàn)API接口自動(dòng)識(shí)別、梳理和分組。

　　API資產(chǎn)生命周期管理

　　對(duì)發(fā)現(xiàn)的API接口進(jìn)行生命周期管理，基于關(guān)鍵字搜索功能快速分組，并且對(duì)分組后的API資產(chǎn)指定責(zé)任人，實(shí)現(xiàn)API資產(chǎn)的導(dǎo)入和導(dǎo)出、資產(chǎn)上下線。

　　API攻擊防護(hù)

　　識(shí)別各種針對(duì)API的安全攻擊，對(duì)安全攻擊進(jìn)行實(shí)時(shí)防護(hù)；對(duì)API請(qǐng)求參數(shù)進(jìn)行合規(guī)管控，對(duì)不符合規(guī)范的請(qǐng)求參數(shù)實(shí)時(shí)管控。

　　API敏感數(shù)據(jù)管控

　　對(duì)API傳輸中的敏感數(shù)據(jù)進(jìn)行識(shí)別，針對(duì)敏感數(shù)據(jù)可以進(jìn)行模糊化或者實(shí)時(shí)攔截，防止敏感數(shù)據(jù)泄露。

　　API流量監(jiān)控與保護(hù)

　　監(jiān)控API的訪問行為，針對(duì)高頻情況等進(jìn)行防護(hù)，防止高頻情況等造成的API性能瓶頸。

　　未知API發(fā)現(xiàn)

　　通過從API網(wǎng)關(guān)上獲取API注冊(cè)數(shù)據(jù)，與API資產(chǎn)進(jìn)行對(duì)比，發(fā)現(xiàn)未知API接口，防止未知API訪問造成的業(yè)務(wù)訪問壓力，導(dǎo)致業(yè)務(wù)不可用。

　　非法API調(diào)用防護(hù)

　　通過從API網(wǎng)關(guān)上獲取API認(rèn)證和鑒權(quán)數(shù)據(jù)，防止未授權(quán)的API調(diào)用，保障API接口只能被合法用戶訪問。

　　API濫用防護(hù)

　　針對(duì)API接口，防止其被濫用并用于謀取利益。

　　API訪問行為管控

　　監(jiān)控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監(jiān)控基線偏離狀況，高效識(shí)別異常訪問行為，避免惡意訪問造成的業(yè)務(wù)損失。

　　產(chǎn)品優(yōu)勢(shì)：

　　瑞數(shù)API安全管控平臺(tái)（API BotDefender），實(shí)現(xiàn)全程式API安全威脅防護(hù)，其安全防護(hù)從API接入客戶端覆蓋到API服務(wù)器端。

　　1. API全自動(dòng)發(fā)現(xiàn)

　　通過全流量數(shù)據(jù)接入和分析可以快速自動(dòng)地發(fā)現(xiàn)業(yè)務(wù)潛在的未知API接口，并針對(duì)發(fā)現(xiàn)的API接口給出準(zhǔn)確的綜合評(píng)分，減少API接口防護(hù)的盲點(diǎn)。同時(shí)，通過清晰的API列表輔助運(yùn)維部門實(shí)時(shí)感知每個(gè)API接口的訪問情況，并進(jìn)行管控。

　　2. 構(gòu)建API畫像

　　采用全程式安全威脅防護(hù)技術(shù)可精準(zhǔn)構(gòu)建API畫像。通過API畫像快速預(yù)覽各個(gè)業(yè)務(wù)的API情況，包括使用情況、異常情況、訪問來源、非法API調(diào)用、API數(shù)據(jù)泄露和API接口濫用等。

　　3. API全渠道感知

　　瑞數(shù)信息API安全管控平臺(tái)部署在API應(yīng)用服務(wù)器與負(fù)載均衡設(shè)備之間，也可以旁路鏡像部署，無需對(duì)現(xiàn)有業(yè)務(wù)進(jìn)行任何改造，系統(tǒng)部署簡單。同時(shí)提供各種SDK，方便與各類API來源應(yīng)用進(jìn)行集成，可以對(duì)來源環(huán)境和用戶行為進(jìn)行感知。

　　4. 動(dòng)態(tài)響應(yīng)防護(hù)

　　瑞數(shù)信息API安全管控平臺(tái)可以根據(jù)訪問行為分析的結(jié)果或指定條件，進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù)，防護(hù)手段包括：直接攔截、限頻、延時(shí)響應(yīng)、軟攔截、限時(shí)黑名單以及與第三方系統(tǒng)聯(lián)動(dòng)等多種方式。另外還可以基于信譽(yù)庫的積累實(shí)現(xiàn)多維度的信譽(yù)防護(hù)，包括IP信譽(yù)庫、設(shè)備指紋信譽(yù)庫和賬號(hào)信譽(yù)庫等，提升黑產(chǎn)通過逆向探測(cè)或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。

　　04

　　用戶反饋

　　與傳統(tǒng)的鑒權(quán)API網(wǎng)關(guān)相比，瑞數(shù)API安全管控平臺(tái)具有API全生命周期的發(fā)現(xiàn)和管控措施，能夠很好地配合我行進(jìn)行API業(yè)務(wù)威脅透視分析和防護(hù)，實(shí)現(xiàn)多部門和多平臺(tái)的關(guān)聯(lián)分析，彌補(bǔ)我行在API業(yè)務(wù)安全防護(hù)過程中跨部門之間溝通和信息共享不對(duì)稱性等問題。

　　——某金融行業(yè)客戶

　　瑞數(shù)信息一直以來為我司提供專業(yè)高效的安全服務(wù)，在日常工作中提供全方位的支持，在網(wǎng)絡(luò)安全攻防演習(xí)中積極配合，快速響應(yīng)并及時(shí)處理各類突發(fā)狀況，保障了攻防演習(xí)的順利完成。

　　——某能源行業(yè)客戶

　　瑞數(shù)API安全管控平臺(tái)能夠幫助我司有效檢測(cè)威脅攻擊，防止敏感數(shù)據(jù)泄漏，已成為我行應(yīng)對(duì)各種API攻擊必不可少的防護(hù)手段，在攻防演練和業(yè)務(wù)合規(guī)實(shí)踐中發(fā)揮作用非常突出。

　　——某運(yùn)營商行業(yè)客戶

　　保障工作期間，瑞數(shù)信息在我中心承擔(dān)了網(wǎng)絡(luò)安全監(jiān)測(cè)、自動(dòng)化攻擊阻攔等工作，為我院圓滿完成各項(xiàng)工作提供了強(qiáng)有力的技術(shù)保障，效果顯著。

　　——某醫(yī)療行業(yè)用戶

　　安全牛評(píng)

　　API可以調(diào)用存儲(chǔ)、計(jì)算和數(shù)據(jù)庫的敏感資源，而數(shù)字化和云化轉(zhuǎn)型會(huì)導(dǎo)致企業(yè)API的大量開放，給企業(yè)敏感數(shù)據(jù)安全帶來極大的風(fēng)險(xiǎn)隱患。瑞數(shù)API安全管控平臺(tái)組合了API管控技術(shù)與數(shù)據(jù)防護(hù)手段，并從API視角在數(shù)據(jù)安全治理、防護(hù)、監(jiān)管多個(gè)維度增強(qiáng)了數(shù)據(jù)可視化，API的細(xì)粒度管控將成為企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)管控的重要抓手。